Registerbug kan virussen voor scanners verbergen

Het SANS Internet Storm Center (ISC) maakt melding van een fout in de Windows Registry die het eenvoudig zou maken voor virusbakkers om hun creaties verborgen te houden voor virusscanners. De kwetsbaarheid werd woensdag al door Secunia gemeld maar werd daar als niet-kritiek bestempeld. ISC-analisten zijn echter van mening dat de bug veel gevaarlijker is dan op het eerste gezicht het geval leek te zijn. Zowel volledig gepatchte Windows 2000- als Windows XP-systemen zijn kwetsbaar.

virus nowhere to hide De kwetsbaarheid maakt het mogelijk (virus-)entries in het autorun-gedeelte van de register verborgen te houden door een key te gebruiken van 255 karakters of meer. Dergelijke entries worden namelijk door veel programma's gemist, evenals entries met keys van minder dan 255 karakters die later aan dezelfde node worden toegevoegd. Veel registerfuncties, zowel van Windows als van een groot aantal makers van virusscanners, denken dan namelijk aan het einde van het betreffende registergedeelte te zijn beland.

ISC is bezig een lijst samen te stellen van programma's die door de bug voor de gek kunnen worden gehouden. Het zou onder andere om Norton SystemWorks, Microsoft AntiSpyware, Spybot RegAnalyzer en Lavasoft AdAware gaan. De lange keys worden wel goed afgehandeld door onder andere StillSecure SafeAccess, AppSense Application Manager en HiJackThis. De keys kunnen door Regedt32 in Windows 2000 worden gezien, maar met andere registereditors van Microsoft zou het mis gaan. ICS onderzoekt op dit moment meldingen van in het wild gespotte malware. Er is al wel exploitcode opgedoken maar tot op heden zijn er geen meldingen van infecties bevestigd. Op de eerder genoemde ICS-pagina is een tooltje beschikbaar om te lange keynamen te detecteren.

Door Mick de Neeve

Feedback • 28-08-2005 16:11 45

28-08-2005 • 16:11

45

Bron: Techweb

Lees meer

Microsoft trekt AutoRun-teugels aan in Windows 7
Microsoft trekt AutoRun-teugels aan in Windows 7 Nieuws van 29 april 2009
SANS presenteert jaarlijkse Top20 van veiligheidslekken
SANS presenteert jaarlijkse Top20 van veiligheidslekken Nieuws van 23 november 2005
Bug in Symantec AntiVirus maakt remote exploit mogelijk
Bug in Symantec AntiVirus maakt remote exploit mogelijk Nieuws van 6 oktober 2005
Norton voegt nieuwe features toe aan Ghost
Norton voegt nieuwe features toe aan Ghost Nieuws van 14 september 2005
McAfee gaat op isp-niveau scannen
McAfee gaat op isp-niveau scannen Nieuws van 6 september 2005
Sysinternals brengt tool uit om rootkits in Windows te vinden
Sysinternals brengt tool uit om rootkits in Windows te vinden Nieuws van 24 februari 2005
Meer producten en artikelen
Software

Reacties (45)

-Moderatie-faq
45
42
25
9
1
10
Wijzig sortering

Sorteer op:

Weergave:
Smarty_6000 28 augustus 2005 17:05
Met het volgende tooltje van de SANS Internet Storm Center (ISC) site kun je scannen op verdachte keys in het register :

http://isc.sans.org/LVNSearch.exe
Verwijderd 28 augustus 2005 16:36
Ik zeg altijd nog, de beste virusscanner ben je zelf.
Ik heb tot nu nog maar 2 virussen gehad in heel me leven, en dat is me eigen schuld om een site te betreden in Internet explorer. Een goede firewall in router, en Firefox, en geen Viruscanner en nog geen last van iets. Als je van de rare "vieze" sites afblijft komt het al goed. Plus je windows blijven patchen, geen rare emails openen die je niet vertrouwt en Vooral geen Dingen downloade Torrents gebruiken die vage content hebben. Dan kom je al een heel eind.

Tenslote de beste virusscanner blijf je zelf ;)
Verwijderd @Verwijderd28 augustus 2005 16:39
sommige virussen zijn hun patch voor en raken een volledig gepatchte pc

daar kan je echt niks aan helpen
Verwijderd @Verwijderd28 augustus 2005 16:49
maar je krijgt ze op een manier binnen he?

En die moet je voorkommen
Vyo @Verwijderd28 augustus 2005 17:13
Bepaalde virussen wel, als je gaat denken aan wat wormen tegenwoordig vaak kunnen, kun je er vaak niet veel aan doen Denk maar eens aan de ongelovelijke hoeveelheid pc's die blaster te pakken kregen tijdens de installatie of voordat ze er iets over konden opzoeken. De besmettingstijd lag zelfs zo laag dat je besmet was voordat je een firewall kon downloaden, of erger nog, de patch kon downloaden.

Voor de duidelijkheid, blaster was toen zo effectief omdat onder andere tijdens het releasen van de patch heel veel mensen op vakantie waren.
Olaf van der Spek @Verwijderd28 augustus 2005 17:58
Bepaalde virussen wel, als je gaat denken aan wat wormen tegenwoordig vaak kunnen, kun je er vaak niet veel aan doen Denk maar eens aan de ongelovelijke hoeveelheid pc's die blaster te pakken kregen tijdens de installatie of voordat ze er iets over konden opzoeken.
Eh, tegen Blaster tijdens installatie kun je wel degelijk iets doen. Netwerkkabel eruit voor installatie, firewall aan na installatie en pas dan de netwerkkabel er weer in.
serhat @Verwijderd28 augustus 2005 18:03
offtopic:
Klopt, ben het totaal met je eens..
Ik heb bijvoorbeeld ook geen AV en heb er ook geen problemen mee zoals jij..
ben net vanmorgen pas gepatched tegen Zotob etc..
PC staat 24/7 aan en heb geen router, alleen een software firewall..
Ik bedoel niet moeilijk doen.. Blaster, Sasser, Zotob maken allemaal gebruik van RPC/LSASS(of componenten ervan) etc.. en als thuis gebruiken zonder netwerk or whatsoever heb ik er echt geen baat bij dat iemand op mijn PC kan connecten op die poorten.. dichtgooien en weg.. natuurlijk betekent dat ook niet dat het 100% veilig is.. maar stukken veiliger wel.. Dichtgooien die handel! ;)


En mjah.. 255 karakters !? Ik ben net begonnen met C.. zoveel weet ik dus niet.. maar als het om chars (of strings) gaan, worden in heel veel tuts en andere codes van programma's standaard plek gereserveerd voor maar 256 chars.. Ik denk dat er toch wel een redelijk limiet in de API's moeten komen.. 255 chars is genoeg.. nee ik geef de API's niet de schuld.. maar als de API tot 100.000 chars toelaat (stom voorbeeld) en ik heb een mooi prog heb die flink bezig moet met het register en ik steeds voor elke char 100.000 bytes aan memory moet opvragen heb je na een tijd ook geen vrij geheugen meer over..
[EDIT]
Er blijkt toch een limiet te zijn.. check dit
Key name heeft een size limit van 255 Characters.. toch een API/windows bug? MSDN word gebruikt door coders en als ik dit mag lezen zou ik ook programma's schrijven die dan ook maar uitgaan van 255 chars.. dan kan jij mij niet vertellen dat er een bug in mijn programma zit, vind ik
GHorsie @Verwijderd28 augustus 2005 21:10
Nee, zolang JIJ er geen last van hebt hoef je geen virusscanner te gebruiken. Zo kon ik laatst weer iemand gaan helpen die +- 40 virussen op de pc had staan.
"Nee ik heb geen virusscanner, maar ik heb er ook geen last van". En ik maar 'aangevallen' worden door pc's die besmet zijn.
WinL @Verwijderd28 augustus 2005 18:35
de definitie van keyname is?
keyname is qua logica gelijk aan folder.

Een folder is WINDOWS
Het pad de eigenlijke key is C:\WINDOWS
een beetje wazig...
RedLizard @Verwijderd28 augustus 2005 21:19
Er is geen enkele reden waarom die namen gelimiteerd moeten zijn. Je kunt de lengte van een naam gewoon opvragen, en dynamisch allocaten om iedere lengte naar keuze te ondersteunen. Het is inderdaad wel slecht dat die pagina fout is (ja het is de pagina - het (NT) register ondersteunt prima langere namen).

[edit]
poging tot reactie op serhat
Pietervs @Verwijderd29 augustus 2005 13:23
natuurlijk betekent dat ook niet dat het 100% veilig is.. maar stukken veiliger wel..
Poorten dichtgooien is natuurlijk slechts één vorm van beveiliging.
Geen virusscanner installeren is imho gewoon dom als je verstand beweert te hebben van computers.
Want zoals je zelf al aangeeft: het dichtzetten van poorten is niet 100% veilig. Een virusscanner geeft ook geen 100% bescherming. Maar regelmatig scannen met ant-adware progjes, een virusscanner en de overbodige poorten dichtzetten is een combinatie die de 100% in ieder geval aardig dicht benaderd...
ironx @Verwijderd28 augustus 2005 16:50
De beste bestuurder ben je zelf.

Draag nooit mn gordel en ben nog nooit met mn hoofd tegen de voorruit geklapt.

Gewoon goed uitkijken en het stuur goed met beide handen vasthouden. Kan je nooit iets gebeuren... :)
Iet @ironx28 augustus 2005 19:58
Volgens mij was dit sarcastisch bedoeld heren...
ironx @Iet28 augustus 2005 20:09
Toch nog iemand die 'm snapt ;)
grasnek @Iet28 augustus 2005 21:24
offtopic
Jep je werd al weggemod, ik dacht ik maak er ff grappig van, ik kon er namelijk wel om lachen.. cynisme druipt er vanaf ironx ;)
/offtopic


Ik heb zelf een linux bak die een flinke firewall heeft om internet te delen, en een virusscanner (gratis Avast!, werkt perfect, vertraagt m'n PC minder dan Norton lijkt wel) en ik heb redelijk wat ervaring met herkennen van virussen in m'n mail, dus die open ik niet.. Oh en op vage websites houdt Avast allerlei malafide Javascripts tegen...

maar ik heb ook een laptop die vanalles binnen zou kunnen brengen als ik bij vrienden/familie op een draadloos netwerkje inlog.. stom genoeg heb ik daar geen firewall op zitten..

maar ik heb zo'n idee dat een firewall in windows toch al te laat is om iets tegen te houden.. kweet niet, niet echt een geweldig gevoel over gewoon, maar dat is puur persoonlijk.. Ik heb het geluk dat ik nog nooit iets ongewensts mee naar huis heb genomen op m'n laptop, en daar staat ook Avast op, die er al regelmatig eens dingen tussenuit gevist heeft.. eens zien hoe lang dat goed gaat :P

Ik vraag me nu ook af hoe Avast met die grote sleutels omgaat.. toch eens uitzoeken..
RedLizard @Iet28 augustus 2005 21:32
maar ik heb zo'n idee dat een firewall in windows toch al te laat is om iets tegen te houden.. kweet niet, niet echt een geweldig gevoel over gewoon, maar dat is puur persoonlijk..
Mis. Firewalls (de meeste dan) zitten op een dusdanig laag niveau dat ze een pakketje verdomd vroeg tegenkomen. Er moet wel een hele lompe fout in de kernel zitten als een pakket daarvoor al schade kan aanrichten.

Dit geldt voor inkomende pakketjes, dus hoe andere pc's jou kunnen aanvallen. Het is echter een totaal ander verhaal met malicious code die op jouw pc wordt uitgevoerd. Dit wordt ook geblokt door firewalls, maar aangezien die code op jouw machine draait, kan hij prima de firewall uitzetten voordat hij met het netwerk gaat spelen (of omzeilen, dat is iets subtieler). Voorwaarde hiervoor is wel dat die code met admin rechten draait. Dus die spannende popupjes "programma X wil internetten. Mag dit?" zijn in principe prutswerk.
TheRock2k4 @ironx28 augustus 2005 16:55
Beetje naïef, bij een botsing zijn immers altijd minstens 2 objecten betrokken....

Zo ook bij virussen, er zijn altijd virussen die onverwacht binnen kunnen komen, tis alleen wel zo dat je het drastisch kan verminderen door nooit rare dingen te doen met je computer......
Verwijderd @ironx28 augustus 2005 17:40
De beste bestuurder ben je zelf.
Draag nooit mn gordel en ben nog nooit met mn hoofd tegen de voorruit geklapt.
Gewoon goed uitkijken en het stuur goed met beide handen vasthouden. Kan je nooit iets gebeuren...
Niks naief, fantastische reactie. En zonder spelvauten.
Olaf van der Spek @ironx28 augustus 2005 18:00
Draag nooit mn gordel en ben nog nooit met mn hoofd tegen de voorruit geklapt.
En een klapband of spookrijder, dat zou jou natuurlijk nooit gebeuren?
Wim-Bart @Verwijderd29 augustus 2005 00:09
Ach tja, ik heb nog ooit één virus gehad op een "eigen" systeem. Maar verder nooit. En dat met Internet explorer. Als je maar bewust je computer gebruikt. Maar mischien helpt het dat op mijn PC's alleen als users wordt gewerkt en niet als Administrators wat totaal niet hoeft, zelfs niet voor games.
paella @Wim-Bart29 augustus 2005 07:57
Domme uitspraak. Veel virussen merk JIJ niets van, die werken lekker op de achtergrond...
Verwijderd @paella29 augustus 2005 08:08
Domme uitspraak...
Ik Internet ook met Explorer, en gebruik ook bewust me eigen pc en heb ook slecht 1 keer een virus gehad: Yankee.Doodle.44 (Juist ja: een DOS virus, 12 jaar geleden, stond op een floppy).

Toch heb ik GEEN virussen, dus zo dom is het niet.
Verwijderd @Verwijderd29 augustus 2005 08:44
Ik heb ook al jaren geen scanner. Ik denk dat de meeste mensen zich veilig voelen met een virusscanner. Dus klikken ze op alles wat interessant lijkt. Bovendien als het fout gaat bel je toch even de helpdesk of de IT-afdeling.
De beste virusscanner ben je zelf. Ik update mij zelf dagelijks.
Pietervs @Verwijderd29 augustus 2005 13:26
Ik update mij zelf dagelijks.
Nu maar hopen dat een van die dagelijkse updates binnenkort eens een portie "common sense" in zit. Je kan lang niet alle wormen en virussen herkennen en/of tegenhouden. Het feit dat je nog geen virus hebt gehad, is geen garantie dat je er in de toekomst ook geen zal krijgen.
De virus-idioten blijven namelijk ook bezig met het ontwikkelen van nieuwe manieren om hun onzinnige gebeuren te verspreiden...
TheCapK @Pietervs29 augustus 2005 19:32
Het ligt voor een groot gedeelte aan je eigen internetgedrag. Als dit minimaal is dan is de kans al veel kleiner. Als je dan verder ook nog het internet gebruikt waar het voor bedoelt is, informatie delen, en verder niks download of iets dergelijks, is de kans nog steeds heel miniem. Toch is er een kans en voor die kans is het niet slim om niks te hebben terwijl er genoeg goede gratis programma's zijn die je kunnen helpen.
Ik heb zelf Norman antivirus en firewall aangevuld met Spywareguard en spywareblaster en ik draai regelmatig Ad-aware. Dit geeft mij toch een behoorlijk goede bescherming maar ook ik heb toch al wel eens virussen binnen gehad evenals spy- en malware. Als ik dit echter vergelijk met anderen die denken het niet nodig te hebben of die met verouderde versies zitten te klooien dan heb ik nog heel veel geluk gehad.
Denk daar eens aan voor je denkt veilig te kunnen internetten en niet de moeite en/of het geld eraan wil uitgeven om je zelf goed te beschermen.
Een nieuw MoBo is niet geweldig om te moeten aanschaffen terwijl de oude nog zo goed mee had gekund mits dat virus niet binnen was gekomen.........!
WinL 28 augustus 2005 16:44
Maar in hoeverre is dit een bug?

Het is sowieso geen kernel probleem. Want die kan perfect omgaan met de langere namen --> het is dus geen bufferoverflow!
Blijkbaar zit de fout in de client programma's. Aangezien er wel programma's zijn die het correct afhandelen. En AL DIE programma's maken gebruik van dezelfde Win32 API!
Wat hier nu precies aan de hand weet ik ook niet, maar om het nu meteen een grootschalige OS bug te noemen?

En mocht Regedit32 het verkeerd afhandelen, dan zit er een foutje in Rededit32, maar niet in het systeem zelf. Zo zou toch veiligheid gewaarborgd zijn. Immers, client programma's spreken direct de API aan.

Iemand die het zelf eens wil uitproberen.

------------
EDIT: het feit dat de keys wel geladen worden met autorun (en via andere programma's) betekend dat de data op API niveau gelezen kan worden.
emn13 @WinL28 augustus 2005 16:55
Er zijn meerdere opties binnen "de" windows api om de registry uit te lezen. Een fout die in zoveel software zit, zit waarschijnlijk in de api omdat het onwaarschijnlijk is dat iedereen zomaar toevallig deze fout dupliceert. Dat sommige programmas wel werken betekent gewoon dat er andere api functies zijn die wel werken. Het is anders ook mogelijk (toch minder waarschijnlijk) dat de code door iedereen gewoon gecopieerd is; bijv. vanaf een MSDN artikel.

In ieder geval betreft het bijna zeker een OS fout - zei het dan in een api danwel in de documentatie van de API.
WinL @emn1328 augustus 2005 17:06
Van meerdere registry functies zijn wel EX versies beschikbaar (OpenKeyEx en OpenKey). Misschien dat daar een verschil in zit??
RedLizard @emn1328 augustus 2005 21:42
Het is zeker een OS fout. Zoals serhat daarboven ergens liet zien:
[url="http://"http://msdn.microsoft.com/library/default.asp?url=/library/en-us/sysinfo/base/registry_element_size_limits.asp""]MSDN artikel over registergrenzen[/url]
In dit stukje docs staat expliciet dat keynamen maximaal 255 tekens kunnen zijn. Het is dus een documentatie fout, wat ik als deel van het OS beschouw.
ironx 28 augustus 2005 16:35
Regedt32 in Windows 2000
Regedt32.exe zit ook in XP... lijkt me niet dat deze veel verschilt met de 2000-versie?

edit:

Even vergeleken:

Regedt32.exe van XP is maar 3584bytes (SP2) en roept gewoon regedit.exe aan...
Regedt32.exe van 2000 (SP4) is 139.536bytes groot. (en de userinterface ziet er ook totaal anders uit).
Beaves @ironx29 augustus 2005 10:32
Regedt32.exe zit ook in XP... lijkt me niet dat deze veel verschilt met de 2000-versie?
Klopt, de werking is hetzelfde, namelijk regedit maar dan met de mogelijkheid om de permissies op sleutels aan te passen, iets wat met de standaard regedit niet mogelijk is.

Ook klopt het dat de interfaces flink verschillen, onder 2000 wordt elk onderdeel (HKEY_LOCAL_MACHINE / HKEY_CURRENT_USER etc.) in een appart venster worden geopend, bij de 2003 en XP versie is dit niet zo en heb je een interface zoals bij regedit het geval is.
SirBlade 28 augustus 2005 19:40
Het lijkt mij meer een bug van Norton SystemWorks, Microsoft AntiSpyware, Spybot RegAnalyzer en Lavasoft AdAware dan van windows. Dit is gewoon een weinig-geruikt feature van het register en die programma's hebben verzuimd daar rekening mee te houden.
Verwijderd 28 augustus 2005 17:22
De scanners zien het virus misschien niet, maar de gebruiker kan het virus wel zelf opmerken en verwijderen met msconfig of regedit. Bovendien zullen veel scanners het virus weldegelijk opmerken als het eenmaal in het geheugen geladen wordt. Helaas is het dan al erg laat, maarja.
Verwijderd 28 augustus 2005 18:12
Deze "bug" verbergt alleen een reg key.
Virusscanners testen ook bij het lezen en schrijven van bestanden op schijf en detecteren het virus dan alsnog!
PvanVelthoven 29 augustus 2005 09:05
Ik lees veel reacties als "De beste virusscanner ben je zelf" en "Dan moet je maar niet op van die 'vieze' pagina's klikken". Ben ik dan de enige die firewalls, virusscanners en spywareverklikkers- en verwijderaars gebruikt, juist omdát ik graag overal rondsnuffel?
Verwijderd 29 augustus 2005 09:09
Ik heb gewoon een goede virusscanner die ook dergelijke moeilijkheden kan voorkomen. Mijn virusscanner heeft nl ook register-bewaking, die geeft gewoon een meldingwanneer een programma iets wil wijzigen in het register. En net als een firewall kan je daar een rule-set voor aanmaken mbv de "popups" die er dan tevoorschijn komen.

In het begin een beetje irritant elke keer op zon vraag te moeten reageren, maar als je eenmaal een goede rule-set hebt werkt het feilloos.

Mss een idee om dergelijke features ook mee te nemen in je keus voor een virusscanner (overigens weet ik niet of Norton/McAfee en consorten ook deze functie hebben, maar BitDefender heeft deze in ieder geval wel).
Verwijderd 29 augustus 2005 10:12
Ter info:

het grootste functionele verschil tussen regedit en regedt32 is :

Met Regedit heb je betere zoekfunctionaliteit en kunnen alle hives met 1 zoekopdracht doorzocht worden:

Met regedt32 wordt iederer Hive in een apart venster geopend (overzichtelijker, maar slechtere zoek-functionaliteit)

Met regedt32 kan security worden ingezien en aangepast op de verschillende sleutels en waarden.

dus of de interface er nou anders uit ziet of niet, het blijven 2 aparte tooltjes. en file-size zegt al helemaal niets over functionaliteit van de tool.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq